Подключение с помощью файлового коллектора
Подключение нового файлового коллектора
Предварительные условия:
-
Источник событий ИБ поддерживает передачу событий по SFTP
-
Наличие лицензии (разрешения) на использование Файлового коллектора (см. Обзор графического интерфейса → О программе → Информация о программе)
-
Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером ПК «КОМРАД»
Для установки файлового коллектора на определенный узел, необходимо:
-
На узле-источнике создать директорию, в которую необходимо переместить deb-пакет
komrad-file-collector*.deb
из дистрибутива ПК «КОМРАД» -
Установить из папки Файловый коллектор командой:
sudo dpkg -i ./komrad-file-collector*.deb
-
Открыть файл
komrad-file-collector.yaml
командой:sudo nano /etc/echelon/komrad/komrad-file-collector.yaml
-
Отредактировать параметр bus-url, задав IP-адрес сервера ПК «КОМРАД»:
bus: servers: - nats://IP_ ПК «КОМРАД»:3490
-
Сохранить файл и перезагрузить Файловый коллектор командой:
sudo systemctl restart komrad-file-collector.service
-
Новый Файловый коллектор отобразится в списке коллекторов в веб-интерфейсе
Подключение новых источников событий
Расположение: Администрирование → Настройка коллекторов → Файловый коллектор
Действия по подключению:
-
Кликните по файловому коллектору
-
С помощью кнопки «Редактировать» при необходимости задайте название коллектора
-
На вкладке «Источники» нажмите на кнопку «Добавить». Справа появится форма создания нового источника для файлового коллектора
-
Задайте параметры подключения на вкладке «Подключение» формы создания нового источника:
-
Название - название узла источника
-
Описание - описание источника
-
Актив - IP-адрес узла источника
-
Протокол - протокол сбора: SFTP/Локальная машина
-
Порт
-
Логин и пароль учетной записи, также поддерживается возможность авторизации по ключу (сертификату)
-
Действия по сбору:
-
Добавьте необходимые для передачи в ПК «КОМРАД» файлы, задав полные пути к ним на вкладке «Сбор»
-
Включите сбор для каждого добавленного файла
-
Включите коллектор, если он был выключен или перезагрузите, если он был включен
-
На узле-источнике убедитесь, что события регистрируются в указанных файлах
-
Для просмотра событий, поступающих от подключенного источника в ПК «КОМРАД», перейдите на дашборд событий в реальном времени События → События в реальном времени
Дополнительно:
-
Для обеспечения возможности подключения с использованием ключа (сертификата) необходимо сохранить его копию в директории
$HOME/.ssh
-
Необходимо удостоверится, что у файла, который планируется собирать файловым коллектором, настроено право на чтение пользователем, с помощью которого будет осуществляться сбор